Systém
VMware SD-WAN Orchestrator ukládá a exportuje prostřednictvím rozhraní API citlivé informace o zákaznících a jejich sítích. Na ochranu citlivých informací zákazníků na místním serveru před externím útokem a za účelem omezení přístupu k jejich rozhraním API podporuje
VMware SD-WAN konfiguraci systému Bastion Orchestrator (veřejný Orchestrator) v internetové demilitarizované zóně (DMZ) za účelem fázování a aktivace
Zařízení SD-WAN Edge. Je-li aktivována funkce systému Bastion Orchestrator, primární uživatel operátora může pomocí aktivačního klíče přijatého z produkčního (privátního) systému Product Orchestrator aktivovat zřízené zařízení Edge proti systému Bastion Orchestrator. Aktivované zařízení Edge je poté propagováno přes zabezpečenou komunikaci ze systému Bastion Orchestrator na produkční systém Production Orchestrator.
Poznámka: V tomto dokumentu je termín „Bastion Orchestrator“ používán zaměnitelně s termínem „Public Orchestrator“ a termín „Production Orchestrator“ je používán zaměnitelně s termínem „Private Orchestrator“.
Následující diagram znázorňuje architekturu a pracovní postup aktivace systému Bastion Orchestrator.
Architektura systému Bastion Orchestrator se sestává ze dvou instancí systému SD-WAN Orchestrator, které spolu vzájemně komunikují. Veřejně přístupná instance dvojice Bastion je „Bastion Orchestrator“ a privátní instancí je „Production Orchestrator“. Pracovní postup aktivace systému Bastion Orchestrator – Edge zahrnuje následující kroky:
Během konfigurace systému Bastion můžete fázovat pouze jeden účet primárního uživatele operátora do systému Bastion Orchestrator. Jakmile je navázáno připojení Bastion mezi systémy Bastion Orchestrator a Production Orchestrator, účet primárního uživatele operátora lze použít pro nouzové účely k získání přístupu do systému Bastion Orchestrator. Fázovaný primární uživatel operátora bude mít přístup pouze ke stránce konfigurace systému Bastion Orchestrator.
Zrušení párování systému Bastion Orchestrator ze systému Production Orchestrator (operace Zpět do režimu Standalone (Return to Standalone Mode)) není podporováno.
Aby bylo možné Edge aktivovat, musí být Edge v režimu „Získání certifikátu (Certificate Acquire)“. Při propagaci Edge pro zahrnutí linků WAN s bránou jako UP musí být brána v režimu „Získání certifikátu (Certificate Acquire)“ nebo „Certifikát je povinný (Certificate Required)“.
Chcete-li po propagaci zařízení Edge ze systému Bastion Orchestrator na systém Production Orchestrator provést upgrade bitové kopie programu Edge, nezapomeňte nakonfigurovat vlastnost systému vco.trusted.uuids v systému Production Orchestrator následujícím způsobem:
Kde uuid a sessionSecret jsou tajné hodnoty identifikátoru UUID a relace systému Bastion Orchestrator. UUID a tajný klíč relace můžete získat z vlastností systému vco.uuid a session.secret v uvedeném pořadí.
Jakmile jsou brána a zařízení Edge fázovány a aktivovány v systému Bastion Orchestrator, nemůžete provádět vzdálené diagnostické testy pomocí systému Production Orchestrator pro fázovanou bránu a zařízení Edge v systému Bastion Orchestrator.
Fázovaný profil Bastion, který je vytvořen za účelem fázování podnikového zákazníka do systému Bastion Orchestrator, by měl mít minimální konfiguraci související s globálními segmenty. Když se aktualizují entity profilu, synchronizují se pouze nastavení zařízení, pravidla řízení a brána firewall v rámci globálního segmentu se systémem Bastion Orchestrator. Následující konfigurace profilu nebudou synchronizovány se systémem Bastion Orchestrator:
Segmenty kromě globálního segmentu
Konfigurace síťových segmentů
Skupiny objektů
Zotavení systému Bastion Orchestrator po havárii
Funkce zotavení po havárii (DR) je podporována pro systém Production (privátní) Orchestrator, ale pro systém Bastion (veřejný) Orchestrator, jelikož je bezstavový a dostává pokyny od systému Production Orchestrator, není funkce DR pro systém Bastion Orchestrator v současnosti podporována.
